Como señaló @Perception. Su mejor apuesta aquí es implementar un servicio web frente a MySQL. No desea que un número desconocido de clientes de direcciones IP desconocidas tengan acceso a su base de datos.
Sería muy fácil que DOS lo ataque bloqueando las conexiones MySQL. Sin mencionar que limitaría severamente su capacidad de escalar su servicio backend para satisfacer las demandas de una mayor base de clientes sin tener un servicio web en el medio.
El servicio web también podría ofrecerle la capacidad de controlar la autenticación y autorización del usuario de varias maneras (combinación de usuario/contraseña, acceso basado en token, acceso OAuth, etc.).
